Я хотел бы разрешить сценарии только с моего локального сервера с некоторыми исключениями, такими как jQuery и т. Д., Но быть гибким для загрузки внешних изображений. Я знаю, что есть директива, какПолитика безопасности контента: разрешить все внешние изображения?
Content-Security-Policy: script-src 'self' https://apis.google.com; img-src 'self' https://www.flickr.com;
, чтобы изображения от обоих, мой собственный веб-сервер и Flickr, но это возможно, чтобы изображения с все источники - или же это нарушит всю концепцию CSP и, следовательно, быть невозможным? Я поддерживаю блог, который часто требует встраивания внешних образов, поэтому он в основном подходит к решению о том, имеет ли смысл и можно ли добавить CSP на мой сайт или нет.
«X-Content-Type-Options: nosniff» - полезный тег, и я рекомендую его, однако тег '' не может загружать JavaScript с сервера с помощью атрибута src, даже если тип содержимого возвращается как 'application/javascript'. –
SilverlightFox